El tipo que hizo la ingeniería inversa de TikTok revela las cosas aterradoras que aprendió, aconseja a la gente que borre esa app

by Janeth Kent Date: 02-07-2020 tiktok malware spyware security obfuscation

Facebook se metió en un escándalo de datos sensibles cuando hizo negocios turbios con Cambridge Analytica, Instagram confirmó un problema de seguridad exponiendo cuentas de usuarios y números de teléfono, pero estas aplicaciones son básicamente paraísos de seguridad en línea en comparación con TikTok, según un ingeniero de software senior con unos 15 años de experiencia profesional.

Hace 2 meses, el usuario de Reddit, bangorlol, hizo un comentario en una discusión sobre TikTok. Bangorlol afirmó haber realizado con éxito la ingeniería inversa y compartió lo que aprendió sobre el servicio de redes sociales de intercambio de video chino. Básicamente, recomendó encarecidamente que la gente no volviera a utilizar la aplicación de TikTok, advirtiendo sobre su seguimiento intrusivo de usuarios y otros problemas. Considerando que TikTok fue la cuarta aplicación gratuita más popular para el iPhone en 2019, esto es bastante alarmante.

 

Por favor, lea para evitar confusiones:
Me piden que demuestre la mayoría de esto con un papel y recortes del código de la infracción. Tengo una cantidad decente de mis notas en mi otro portátil que recientemente tuvo un fallo en la placa madre y la mayoría de esos datos están en el SSD del portátil. Es un Macbook Pro, así que recuperar los datos no es exactamente súper simple. Tengo algunos scripts de frida que he empujado a mi servidor git, así como algunos archivos de reducción de precio + registros de conversaciones que he tenido con exploit devs, pero no mucho más. Para conseguir que todo el mundo tenga las pruebas que necesita, es probable que tenga que invertir la aplicación de nuevo, lo cual no es algo para lo que tenga tiempo ahora mismo.

Estoy planeando poner un simple sitio/blog con lo que tengo y actualizaré este comentario con el enlace cuando esté hecho. Gracias a todos por prestar atención a este tema, y gracias a todos los que están examinando mis reclamaciones. Necesitamos más de eso en esta era actual de desinformación.

Así que yo personalmente puedo opinar sobre esto. Hice la ingeniería inversa de la aplicación, y me siento confiado al afirmar que entiendo muy bien cómo funciona la aplicación (o al menos la operé hace unos meses).

TikTok es un servicio de recolección de datos que se revela como una red social. Si hay una API para obtener información sobre ti, tus contactos o tu dispositivo... bueno, la están usando.

El hardware del teléfono (tipo de cpu, número por supuesto, ids de hardware, dimensiones de la pantalla, dpi, uso de memoria, espacio en disco, etc)

Otras aplicaciones que has instalado (incluso he visto algunas que he borrado que aparecen en su carga de análisis - tal vez usando como valor en caché?)

Todo lo relacionado con la red (ip, ip local, router mac, tu mac, nombre del punto de acceso wifi)

Ya sea que estés o no arraigado/quebrado en la cárcel

Algunas variantes de la aplicación tenían habilitado el pinging GPS en ese momento, más o menos una vez cada 30 segundos - esto está habilitado por defecto si alguna vez localizas un post IIRC

Configuran un servidor proxy local en su dispositivo para "transcodificar los medios", pero eso puede ser abusado muy fácilmente ya que tiene cero autenticación

La parte más aterradora de todo esto es que gran parte del registro que están haciendo es configurable remotamente, y a menos que inviertas cada una de sus bibliotecas nativas (diviértete leyendo todo ese montaje, asumiendo que puedas pasar por su horquilla personalizada de Obfuscated Low Level Virtual Machine!!!) e inspeccionar manualmente cada una de las funciones ofuscadas. Tienen varias protecciones diferentes para evitar que también inviertas o depures la aplicación. El comportamiento de la aplicación cambia ligeramente si saben que estás tratando de averiguar lo que están haciendo. También hay algunos fragmentos de código en la versión para Android que permiten descargar un archivo zip remoto, descomprimirlo y ejecutar dicho binario. No hay ninguna razón por la que una aplicación móvil necesite esta funcionalidad legítimamente.

Además de todo lo anterior, ni siquiera usaron HTTPS durante mucho tiempo. Filtraron las direcciones de correo electrónico de los usuarios en su HTTP REST API, así como sus correos electrónicos secundarios utilizados para el restablecimiento de la contraseña. No te olvides de los nombres reales de los usuarios y sus cumpleaños, también. Hace unos meses, todo era visible públicamente si se hacía el MITM de la aplicación.

Proporcionan a los usuarios una muestra de "viralidad" para atraerlos a permanecer en la plataforma. Tu primer post de TikTok probablemente cosechará bastantes simpatías, sin importar lo bueno que sea... asumiendo que superes la cola de moderación inicial si eso es todavía algo. La mayoría de los usuarios terminan persiguiendo al dragón. También hay un montón de viejos espeluznantes que tienen acceso directo a los niños en la aplicación, y yo personalmente he visto (y reportado) algunas cosas realmente sospechosas. Hombres de 40-50 años consiguiendo que niñas de 8-10 años hagan "duetos" con ellos con canciones sexualmente sugerentes. Esos videos se publican públicamente. TikTok tiene una función de mensajería directa.

Pero el asunto es que no quieren que sepas cuánta información están recopilando sobre ti, y las implicaciones de seguridad de todos esos datos en un solo lugar, en masa, son jodidamente enormes. Cifran todas las solicitudes de análisis con un algoritmo que cambia con cada actualización (al menos las claves cambian) sólo para que no puedas ver lo que están haciendo. También lo hicieron para que no puedas usar la aplicación en absoluto si bloqueas la comunicación con su host de análisis a nivel DNS.

Por si sirve de algo, he invertido las aplicaciones de Instagram, Facebook, Reddit y Twitter. No recogen ni de cerca la misma cantidad de datos que TikTok, y seguro que no están tratando de ocultar exactamente lo que se envía como lo hace TikTok. Es como comparar una taza de agua con el océano, sólo que no se comparan.

Tl;dr; soy un nerd que averigua cómo funcionan las aplicaciones para un trabajo. Llamarlo una plataforma publicitaria es un eufemismo. TikTok es esencialmente un malware dirigido a los niños. No uses TikTok. No dejes que tus amigos y familiares lo usen.

Bueno esto explotó - perdón por los errores de escritura, escribí este comentario bastante rápido. Aprecio a la gente de Gold/Rewards/Etc., pero honestamente estoy contento de que finalmente pueda poner esto en linea


 

Bangorlol no es un inexperto. "Últimamente, se trata sobre todo de revertir las API de los socios de mi empresa para no tener que esperar a que creen algo personalizado para nosotros. Cazo recompensas por bugs cuando tengo tiempo, o ayudo a mis amigos con las suyas. Me gusta la seguridad en general y normalmente encuentro al menos algunos fallos importantes cada vez que cambio de empresa. Soy una especie de tipo 'gato de todos los oficios' en el sentido de que me siento cómodo en la mayoría de las áreas de la ingeniería de software y, sobre todo, bastante bien con muchos temas de seguridad".

Se dice que el equipo de desarrollo chino tardó 200 días en crear la versión protegida de TikTok, pero cuando Bangorlol puso su cursor en su código, no tuvo ninguna oportunidad. Aunque, trató de oponer resistencia. "TikTok se esforzó mucho en evitar que gente como yo descubriera cómo funciona su aplicación. Hay un montón de ofuscación en todos los niveles de la aplicación, desde tu variable estándar de Android hasta las groserías que ponían (bytedance) y la personalización de ollvm para sus cosas nativas. Ocultan funciones, evitan que los depuradores se conecten, y emplean bastantes trucos furtivos para dificultar las cosas. Sinceramente, es más complicado y molesto que la mayoría de los softwares a los que me he dirigido", explicó Bangorlol.

Ese secreto es comprensible. Las ganancias de TikTok han aumentado proporcionalmente al incremento de su popularidad y su propietario ByteDance obtuvo un beneficio neto de 3.000 millones de dólares el año pasado, según un informe de Bloomberg.

Bangorlol piensa que nosotros como sociedad hemos normalizado la entrega de nuestra información personal y ya no tenemos expectativas de privacidad y seguridad, por lo que entregar a TikTok nuestros datos junto con nuestro dinero no es nada sorprendente. "El consenso general entre la mayoría de la gente 'normal' es que no pueden o no serán objetivo, así que está bien. O que no tienen nada que esconder, así que, ¿por qué debería importarme? Creo que la apatía se debe a que la gente simplemente no entiende las implicaciones de seguridad (a todos los niveles) de entregar nuestros datos a un gobierno extranjero que no discrimina contra quiénes son sus objetivos, y que tampoco tiene realmente el mejor historial en lo que se refiere a los derechos humanos", dijo.

Hay que tener en cuenta que Bangorlol publicó su comentario inicial hace tiempo y no ha tocado la aplicación en meses, y cuando publicó sus hallazgos, también estaban unos meses atrasados. "La aplicación podría haber cambiado las técnicas de huellas dactilares o añadido/eliminado algunas de las cosas desagradables que hacen. Recomiendo encarecidamente a los investigadores de seguridad que son mucho más inteligentes que yo y tienen más tiempo libre para echar un vistazo a la aplicación y examinar cada pequeño detalle que puedan". En las bibliotecas nativas están pasando muchas cosas para al menos la versión de Android que no he podido averiguar y no he tenido tiempo de investigar más", añadió.

"Puede que TikTok no cumpla los criterios exactos para ser llamado "Malware", pero es definitivamente nefasto y (en mi humilde opinión) francamente malvado", dijo Bangorlol. "Hay una razón por la que los gobiernos lo están prohibiendo. No uses la aplicación. No dejes que tus hijos la usen. Dile a tus amigos que dejen de usarla. No te ofrece nada más que una rápida fuente de entretenimiento que puedes conseguir en otro lugar sin entregar tus datos al gobierno chino. Te pones directamente a ti mismo y a los de tu red (trabajo y hogar) en riesgo".

 
by Janeth Kent Date: 02-07-2020 tiktok malware spyware security obfuscation visitas : 2761  
 
Janeth Kent

Janeth Kent

Licenciada en Bellas Artes y programadora por pasión. Cuando tengo un rato retoco fotos, edito vídeos y diseño cosas. El resto del tiempo escribo en MA-NO WEB DESIGN AND DEVELOPMENT.

 
 
 

Artículos relacionados

Apple, peligro para el malware que funciona incluso con el smartphone apagado

  El 1 de abril de 2002, se dio la alarma en Internet sobre el virus informático Power-Off o pHiSh, que era "extremadamente eficaz, ya que reescribe directamente la BIOS, dejando…

Cómo detectar Pegasus en iOS y Android - Averigua si tu móvil está infectado con el software espía

Pegasus es una solución estilo spyware de vigilancia de inteligencia diseñada para ayudar a los gobiernos a combatir el terrorismo y la delincuencia, según NSO Group, una agencia tecnológica con…

Búsqueda en la Dark Web: instrucciones

Hoy en día, las ciberamenazas vienen de todas partes, tanto de la superficie como de la web oscura. Muchas empresas se basan en la información recogida en las comunidades de…

Introducción al Pentesting

Pentesting, Pentester .... ¿Has oído hablar de estos términos? ¿Que es el Pentesting? Te has preguntado alguna vez quiénes son las personas que velan por la seguridad, tanto de las empresas…

Proton VPN se convierte en la primera VPN de código abierto y auditada

En una entrada de blog, ProtonVPN acaba de anunciar que está usando código fuente abierto y también ha publicado los informes de la auditoría de seguridad. Con este paso, ProtonVPN pretende…

Clicky